業界団体GSMAによると、脅威の高度化に伴い、モバイル通信事業者の中核的なサイバーセキュリティ支出は2030年までに2倍以上に増加すると見込まれる一方で、設計の不十分な断片的な政策枠組みにより、コンプライアンスコストが余計にかさんでいる。
同ロビー団体は、ネットワーク事業者の負担を軽減するため、各国の政策立案者に対し、コンプライアンスおよびインシデント報告の簡素化を求める報告書を公表した。また、共通の標準に基づいて枠組みを構築できるよう、各国政府および規制当局間の国際的な連携強化も求めている。
多くの国では、事業者が重複する法律や業種別ポリシーのつぎはぎ状態に直面していたり、複数の規制当局の裁量に左右されたりしているとGSMAは主張する。これにより、コンプライアンスコストの増大や報告業務の重複が生じ、実効的なリスク軽減に向けた取り組みではなく、コンプライアンス確保の方にリソースが振り向けられてしまう可能性がある。
42ページにわたる報告書[PDF]「The Impact of Cybersecurity Regulation on Mobile Operators(モバイル事業者に対するサイバーセキュリティ規制の影響)」は、世界的にセキュリティ脅威が急速に増大しており、過去5年間で攻撃件数がおよそ75%増加したと指摘している。
同報告書は、世界のモバイル事業者が「中核的」サイバーセキュリティ活動に年間150億~190億ドルを費やしていると推計しており、脅威がより高度化・巧妙化するにつれて、この額は2030年までに400億~420億ドルへと増加すると見込まれている。
報告書によると、サイバーセキュリティ規制に関連するコストは主に3つのカテゴリーに分類される。
1つ目は、事業者がすでに実施している対策と整合する、あるいはそれを拡張する義務であり、要件を満たしている企業に対しては大きな追加コストを発生させることなく、最低限の基準を確保するものだ。
2つ目は、モバイル事業者に対して「異なるやり方」を求める規制だが、それが必ずしも「より良い」結果につながるとは限らないものだ。GSMAによれば、これらは同じ目的を掲げていても、事業者に追加の活動を実施させたり、義務付けられた技術への投資など、余分なコストを負わせたりすることにつながる。
3つ目は、サイバーセキュリティそのものを直接的に向上させるわけではなく、コンプライアンスを証明するために生じる義務である。一部の事業者は、サイバーセキュリティ運用チームの半数が、脅威の特定やリスク管理ではなく、コンプライアンス業務に従事していると報告している。
事業者の負担を軽減するため、GSMAは、ISO 27001やNISTサイバーセキュリティフレームワークといった国際標準と整合したセキュリティポリシーの策定と、新たな政策や枠組みが一貫性を保つよう規制当局が配慮することを求めている。
サイバーセキュリティ規制は、罰則ではなく対話を通じて執行されるべきだとしており、これはルール違反に対する罰金を科さないでほしいという懇願のようにも聞こえる。同様の文脈で、政府はインシデント発生後のコンプライアンス執行に依存するのではなく、長期的な予防投資を促すべきだとも述べている。
GSMAによれば、これらの提言は大規模な新規投資を必要とするものではなく、むしろ協調、信頼、そして責任の共有へとアプローチを転換することを求めるものだ。
「本報告書は、サイバーセキュリティの枠組みは、調和が取れており、リスクベースで、信頼に基づいて構築されているときに最も効果を発揮することを明確に示しています」と、GSMAの政策・規制部門責任者ミカエラ・アンゴニウス氏は、用意されたコメントの中で述べている。
「市民と重要な社会インフラを守るためには、共通の原則に導かれながら、規制当局と事業者が協力して取り組むべきです。政策が首尾一貫しており、成果重視であれば、デジタル・エコシステム全体がより安全になります。」®
